SOC (Security Operation Center): Kurumsal Dayanıklılığın Operasyonel Kalbi

Siber güvenlik, yalnızca teknik risklerin yönetimi değil; iş sürekliliği, müşteri güveni ve düzenleyici uyumun kesişiminde yer alan stratejik bir yönetim alanıdır. Bu alanın operasyonel kalbi Security Operation Center (SOC)’tur. Doğru tasarlanmış bir SOC; tehditleri erken fark eden, olaylara hızlı ve izlenebilir biçimde yanıt veren, her vakadan öğrenerek kendini geliştiren ve tüm bunları kurumsal hedeflerle uyumlu bir çerçevede yürüten bir yapıdır.

Ixpanse’in yaklaşımı hakkında daha fazlası için ana sayfamızı ziyaret edebilir veya doğrudan iletişime geçebilirsiniz.

SOC’un Tanımı ve Kurumsal Konumu

SOC; tekil bir ürün ya da yalnızca bir yazılım platformu değildir. İnsan, süreç ve teknoloji unsurlarının aynı hedef etrafında konumlandığı, kesintisiz çalışan bir operasyon kapasitesidir. Analistler, olay müdahale uzmanları, tehdit avcıları ve mimarlar gibi rolleri; olay yaşam döngüsü, triage, kriz iletişimi ve adli bilişim gibi süreçleri; SIEM, SOAR, EDR/XDR, NDR, IAM ve DLP gibi teknolojileri bir araya getirir. Amaç; görünürlüğü artırmak, anomali ve tehditleri bağlama oturtarak önceliklendirmek ve örgütlü bir yanıtla etkiyi en düşük düzeye indirmektir.

İş Gerekçesi ve Beklenen Katma Değer

İyi tasarlanmış bir SOC, reaktif yangın söndürmeden proaktif risk yönetimine geçiş sağlar. Erken tespit süresi kısalırken, müdahale ve toparlanma süreleri öngörülebilir seviyelerde tutulur. Yönetim panelleri, denetim izleri ve kanıt setleriyle şeffaflık artar; KVKK, ISO/IEC 27001 ve PCI DSS v4.0.1 gibi çerçeveler için aranan gereklilikler düzenli ve denetime hazır biçimde üretilir.

Olay Yaşam Döngüsü

0) Hazırlık ve Temel (Preparation)

Amaç: Operasyon standartları, rol ve sorumluluklar, kanıt üretimi ve iletişim planını tanımlamak.

Girdiler: Güvenlik politikaları, RACI, risk envanteri, kritik varlıklar, uyum gereksinimleri.

Çıktılar: Onaylı playbook/runbook, eskalasyon matrisi, tatbikat takvimi, kanıt saklama planı.

1) Görünürlük ve Toplama (Visibility & Ingestion)

Amaç: Doğru kaynaktan doğru telemetriyi doğru ayrıntı düzeyinde toplamak. Kaynaklar: Kimlik/erişim günlükleri (AD/IdP/MFA), EDR/XDR, NDR, ağ cihazları, WAF/API, bulut denetim günlükleri, e‑posta güvenliği, DLP, uygulama günlükleri.

2) Tespit ve Önceliklendirme (Detect & Triage)

Amaç: Anomalileri yakalamak ve iş etkisine göre sıralamak. Araçlar: Korelasyon kuralları, UEBA, IOC/IOA, varlık kritiklik puanları. Ölçüm: MTTD, yanlış pozitif oranı, ilk triage süresi.

3) İnceleme ve Zenginleştirme (Investigation & Enrichment)

Amaç: Vaka bağlamını netleştirip hızla karar verilebilir seviyeye getirmek. CTI kaynakları, kimlik ve cihaz bağlamı, geçmiş olaylar ve zafiyet verisi birlikte değerlendirilir.

4) Karar ve Eylem Planı (Decision & Action Plan)

Amaç: Etki, aciliyet ve uyum gereksinimlerine göre onaylı aksiyon setini belirlemek. Girdiler: İş birimi öncelikleri, SLA/OLA, regülasyon kısıtları, iş sürekliliği şartları.

5) Müdahale ve Kapsama (Containment & Response)

Amaç: Yayılımı durdurmak ve etkiyi en aza indirmek. SOAR aksiyonları, EDR izolasyonu, NDR blokları, IAM politika güncellemeleri uygulanır. Ölçüm: MTTR, yayılım süresi, etkilenen varlık sayısı.

6) İyileşme ve Kurtarma (Recovery)

Amaç: Sistem ve süreçleri güvenli ve doğrulanmış bir duruma döndürmek. Yedeklerden geri dönüş, değişiklik kayıtlarının doğrulanması ve kalıcı düzeltmelerin uygulanması bu aşamada tamamlanır.

7) Kök Neden ve Öğrenme (Root Cause & Lessons Learned)

Amaç: Tekrarı önlemek için yapısal iyileştirmeler yapmak. Çıktılar: Güncellenmiş kontroller, revize playbook’lar, eğitim içerikleri ve yönetim özeti.

8) Raporlama ve Denetim Hazırlığı (Reporting & Audit)

Amaç: Yönetim ve denetim otoriteleri için şeffaf, delillendirilebilir çıktı üretmek. Kaynaklar: SLA/KPI panoları, zincirleme kayıt, sorgu şablonları ve kanıt paketleri.

Kullanım Senaryoları (Sektörel Örnekler)

Finans ve Ödeme Sistemleri

Kart verisi ortamındaki olağandışı işlem desenleri, POS terminallerinden gelen beklenmedik imzalar veya kart bulunurluk hataları, dolandırıcılık sinyalleriyle birleştiğinde hızla büyüyen riskler oluşturur. SIEM kuralları aynı kartla kısa sürede farklı lokasyonlarda yapılan denemeleri işaretler; EDR, kasiyer istasyonlarındaki yetkisiz yazılım değişikliklerini tespit eder. SOAR playbook’u, ödeme ağ geçidi seviyesinde geçici bloklama ve ek kimlik doğrulama adımlarını otomatik tetikler. (Bkz. PCI Security Standards Council)

E‑Ticaret ve Perakende

Kampanya dönemlerinde bot trafiği ve hesap ele geçirme girişimleri artar. WAF ve bot yönetimi sinyalleri NDR verisiyle ilişkilendirilir; IdP tarafında başarısız denemeler sonrası gelen tek başarılı girişler, şüpheli sipariş değişiklikleriyle birlikte önceliklendirilir. SOAR, riskli oturumları sonlandırır, MFA’yı zorunlu kılar ve müşteri destek ekibini bilgilendirir.

Üretim (OT/ICS)

Üretim hatlarında duruş süresi yüksek maliyetlidir. NDR sensörleri, endüstriyel protokollerde (ör. Modbus, S7) anormal komut akışlarını tespit eder; IT/OT geçiş noktalarında yetkisiz erişim denemeleri görünür hale gelir. Segment bazlı ağ blokları devreye alınır, uzaktan bakım kanalları doğrulanır ve yalnız “bilinen iyi” imajlar sahaya geri yüklenir.

Sağlık

PHI içeren sistemlerde klinik cihazların beklenmedik ağ trafiği veya EHR üzerinde olağandışı sorgu yoğunluğu veri sızıntısı veya içeriden kötüye kullanımın göstergesi olabilir. Kimlik ve erişim günlükleri e‑posta güvenliği sinyalleriyle birleştirilerek BEC girişimleri erken yakalanır; DLP, olağan dışı saatlerde toplu dışa aktarımları işaretler. (Bkz. ENISA)

Kamu ve Enerji

Kritik altyapılarda hedefli saldırılar dönemsel olarak artar. Tehdit istihbaratı akışlarından gelen kampanya/TTP bilgileri yerel telemetriyle birleştirilir ve MITRE ATT&CK teknikleriyle eşleştirilir. Olay esnasında SCADA ağlarında mikrosegmentasyon ve erişim kısıtları devreye alınır; paydaşlara zamanında ve standartlaştırılmış bilgi sağlanır.

SaaS ve Teknoloji Şirketleri

Çoklu bulut ve yüksek entegrasyon yoğunluğu, kimlik tabanlı saldırılara alan açar. IdP sinyalleri; kod depolarındaki şüpheli erişimler, CI/CD hattındaki beklenmeyen tetikler ve bulut IAM değişiklikleriyle bağdaştırılır. SOAR, anahtar ve token iptalleri, zorunlu parola döndürme ve etkilenen pipeline’ların durdurulması gibi adımları koordine eder.

Olgunluk, Ölçüm ve Yönetişim

Olgunluk zamanla inşa edilir. Başlangıçta temel kullanım senaryoları ve manuel süreçlerle yürüyen operasyon, entegrasyon ve otomasyonlarla hız ve tutarlılık kazanır. Tehdit avcılığı, istihbarat beslemeleri ve düzenli tatbikatlar kültüre yerleştikçe kurum proaktif bir seviyeye taşınır. Başarı göstergeleri; MTTD/MTTR, dwell time, yanlış pozitif/negatif oranları ve ATT&CK kapsamı şeklinde izlenmeli; raporlar karar süreçlerini beslemek üzere yapılandırılmalıdır.

Uyum Boyutu ve Kaynaklar

Uyum gereksinimleri, SOC’un pratikte karşılandığı ana platformlardan biridir. KVKK’da erişim loglarının bütünlüğü ve ihlal bildirim süreçleri; ISO 27001’de olay yönetimi ve izleme; PCI DSS’te CDE izleme, FIM, erişim yönetimi ve raporlama ön plana çıkar. Referans için: KVKK, ISO/IEC 27001, PCI SSC, NIST CSF, MITRE ATT&CK.

Sonuç ve İletişim

Doğru tasarlanmış bir SOC, kurumun dayanıklılığını artıran stratejik bir yatırımdır. Riskleri öngörmeyi, olayların etkisini sınırlamayı ve uyumu sürdürülebilir şekilde yönetmeyi mümkün kılar. Ixpanse olarak, otomasyon öncelikli ve uyum dostu yaklaşımımızla kurumunuza uygun SOC programını tasarlar, devreye alır ve işletir. Bir keşif görüşmesi planlamak için bize ulaşın.